Vaak opgeslagen op het apparaat, vertrouwen basisverificatieprotocollen op het verzenden van gebruikersnamen en wachtwoorden bij elk verzoek, waardoor het risico toeneemt dat aanvallers de inloggegevens van gebruikers vastleggen, vooral als ze niet TLS-beveiligd zijn. Basisverificatie, hoewel noodzakelijk voor bedrijven die verouderde software gebruiken, kan MFA niet afdwingen en wordt vervangen door moderne verificatie.
De legacy-instellingen stonden al jaren op de radar van Microsoft om te repareren. In 2018 kondigde Microsoft aan dat het een reeks wijzigingen – en uiteindelijk afschaffing – zou introduceren in zijn authenticatiecontroles als een middel om organisaties te helpen het risico te verminderen. Deze wijzigingen zouden over een aantal jaren plaatsvinden, en in september 2021 kondigden ze aan dat ze eind 2022 Basisverificatie permanent zullen uitschakelen in alle M365 tenants, ongeacht het gebruik, met uitzondering van SMTP-verificatie (lees hier hoe je SMTP AUTH open kunt laten staan, indien benodigd).
Lijst met basisverificatieprotocollen
Om de implementatie van de organisatie te beveiligen, is de eerste stap te weten welke typen basisverificatieprotocollen er bestaan. Binnen Microsoft omvatten de beschouwde basis-/legacy-protocollen:
- Geauthenticeerde SMTP – Gebruikt door POP- en IMAP-clients om e-mailberichten te verzenden
- Autodiscover – Gebruikt door Outlook- en EAS-clients om mailboxen in Exchange Online te vinden en ermee te verbinden
- Exchange ActiveSync (EAS) – Wordt gebruikt om verbinding te maken met mailboxen in Exchange Online
- Exchange Online PowerShell – Wordt gebruikt om verbinding te maken met Exchange Online met externe PowerShell
- Exchange Web Services – Een programmeerinterface die wordt gebruikt door Outlook, Outlook voor Mac en apps van derden
- IMAP – Gebruikt door IMAP-e-mailclients, zodat gebruikers overal en vanaf elk apparaat toegang hebben tot e-mail
- MAPI via HTTP – Gebruikt door Outlook 2010 en later
- OAB (Offline Address Book) – Een kopie van adreslijstverzamelingen die worden gedownload en gebruikt door Outlook
- Outlook-service – Gebruikt door de app Mail en Agenda voor Windows 10
- POP3 – Gebruikt door POP-e-mailclients om nieuwe berichten te downloaden en te verwijderen van de e-mailserverReporting Web Services
- Andere clients – Alle andere protocollen die zijn geïdentificeerd als gebruikmakend van legacy-authenticatie
Deze authenticatieprotocollen ondersteunen geen moderne authenticatiemechanismen zoals multi-factor authenticatie (MFA), wat betekent dat het inschakelen van MFA niet voldoende is. Immers, een kwaadwillend persoon kan via deze protocollen MFA omzeilen, zelfs al heb je het aanstaan!
Om de beveiliging te verbeteren en de risico’s te verkleinen, moeten organisaties alle gebruikers en services vinden die de oude protocollen gebruiken, migreren om moderne protocollen te gebruiken en de basisprotocollen blokkeren.
Onze hulp leidt je door het ontdekkings- en blokkeringsproces, naast instructies voor het delen van aanvullende controles, zoals een beleid voor voorwaardelijke toegang, die uw Microsoft 365-beveiligingshouding kunnen versterken.
Ontdekking
Voordat alle verouderde protocollen binnen de organisatie worden afgesloten, is het belangrijk om gebruikers en services te identificeren die basisverificatie gebruiken. In plaats van de productiviteit te verlagen en gebruikersfrustratie te veroorzaken, is het belangrijk om gebruikers te laten weten dat het systeem wordt geüpgraded, wat bedrijfsonderbrekingen helpt voorkomen en een pijnloze overgang naar moderne protocollen bevordert.
Er zijn een paar manieren om meer te weten te komen over de houding van uw organisatie met behulp van deze methoden:
- Powershell-script – laat zien voor welke gebruikers de oude uitwisselingsprotocollen zijn ingeschakeld
- Rapport voor voorwaardelijke toegang – toont het daadwerkelijke gebruik van de basisverificatieprotocollen
- Azure AD-aanmeldingslogboeken – toont aanmeldingen die zijn uitgevoerd met verouderde verificatieclients
Voorwaardelijke toegang – alleen rapporteren
Maak een rapport met Conditional Access (zie figuur 1) dat de gebruikers en services simuleert die zouden worden beïnvloed als basisauthenticatieprotocollen worden geblokkeerd. Dit rapport geeft inzicht in de gebruikers en services die daadwerkelijk gebruikmaken van de legacy-protocollen.
De voorgestelde looptijd voor dit rapport is drie maanden, om inactieve gebruikers op te vangen, en sporadische gebruikte of tijdgeplande services.
Door het rapport te bekijken, ontstaat een beter beeld van verouderde protocollen die in gebruik zijn, waardoor de kans op ontbrekende services of gebruikers die nog steeds basisverificatieprotocollen in het spel hebben, wordt verkleind.
Azure AD-aanmeldingslogboeken
De aanmeldingslogboeken van Azure AD zijn een andere handige manier. Door in de logboeken te duiken en de “Client-app” te filteren, kunnen aanmeldingen worden onthuld die zijn uitgevoerd met verouderde authenticatieclients.
Toegang blokkeren
Na zorgvuldig onderzoek en ontdekking van al het gebruik van basisauthenticatieprotocollen, is het tijd om ze te blokkeren.
Er zijn een paar bekende benaderingen voor het blokkeren van authenticatieprotocollen, een populaire is het gebruik van het beleid voor voorwaardelijke toegang.
Authenticatiebeleid
Geen kennis van voorwaardelijke toegang? Begin bij de bron. Microsoft heeft een speciale functie voor het blokkeren van basisverificatieprotocollen, waardoor het eenvoudig te beheren is via de beheerdersconsole.
Ga naar het Office-beheercentrum -> Instellingen -> Organisatie-instellingen -> Moderne authenticatie en schakel alle basisauthenticatieprotocollen uit (zorg ervoor dat moderne authenticatie is aangevinkt). Zie figuur 3.
Door instellingen in het beheercentrum te wijzigen, wordt een nieuw authenticatiebeleid gemaakt en ingesteld als het standaardbeleid van de organisatie.
Gebruik PowerShell om te valideren:
$default_policy = Get-OrganizationConfig | Selecteer DefaultAuthenticationPolicy;
Get-AuthenticationPolicy $default_policy.DefaultAuthenticationPolicy;
Je kunt uitzonderingen instellen en verschillende verificatiebeleidsregels toewijzen aan specifieke gebruikers met behulp van PowerShell-opdrachten:
New-AuthenticationPolicy –name “Test Groep” -AllowBasicAuthImap
Set-User -Identity -AuthenticationPolicy
In dit voorbeeld wordt een nieuw authenticatiebeleid met de naam Test Groep gemaakt dat basisauthenticatie met IMAP mogelijk maakt en dit aan een gebruiker toewijst.
Authenticatiebeleid is een must, maar niet voldoende om het dreigingsrisico van deze verouderde protocollen alleen te stoppen. Het authenticatiebeleid omvat oudere clients, mailboxprotocollen zoals IMAP en SMTP en andere clients zoals PowerShell. Echter, net als voorwaardelijke toegang, hoewel de service is geblokkeerd, zullen sommige klanten nog steeds feedback geven (waardoor bepaalde cyberaanvallen erin slagen een wachtwoord te achterhalen voor toepassing in andere SaaS-apps). Schakel de service volledig uit om deze belastende feedback te voorkomen. Het afsluiten van een service kan alleen worden gedaan voor mailboxen, die zes van de 13 protocollen dekken. Het blokkeren van het authenticatiebeleid dekt de rest.
Mailboxservices en transportconfiguratie
Het uitschakelen van een mailboxservice (of inschakelen bij uitsluiting) kan via de gebruikersinterface per gebruiker.
Ga naar het Office-beheercentrum -> Gebruikers -> Actieve gebruikers -> selecteer een gebruiker (met mailbox) -> tabblad Mail -> Beheer e-mailapps en schakel de basisverificatieprotocollen uit: POP, IMAP, SMTP. Zie figuur 4.
Houd er rekening mee dat SMTP, MAPI via HTTP en mobiel (Exchange ActiveSync) zowel basis- als moderne authenticatie ondersteunen.
Er is geen SMTP-bulkbewerking voor meerdere mailboxen (POP- en IMAP-bulkbewerking vind je in het klassieke Exchange Admin Center). Transportconfiguratie bestuurt de hele Exchange-organisatie en een van de mogelijkheden is om de SMTP-service (zowel standaard als modern) uit te schakelen. Gebruik de PowerShell-opdracht om SMTP globaal uit te schakelen. Set-TransportConfig -SmtpClientAuthenticationDisabled $true
Gebruik Powershell-cmdlets om basisverificatieprotocollen voor alle mailboxen of subsets te blokkeren:
$Users = Get-CASMailbox -ResultSize onbeperkt
$Gebruikers | foreach {Set-CASMailbox -Identity
$_ -SmtpClientAuthenticationDisabled $true -ActiveSyncEnabled $false -ImapEnabled $false -MapiEnabled
$false -PopEnabled$false -OWAEnabled $false}
Uitsluitingen
Er zijn gevallen om te overwegen om verouderde protocollen uit te sluiten en toe te staan. Een manager die bijvoorbeeld een ouder apparaat gebruikt of een script dat is ontwikkeld met de oude protocollen en dat nu opnieuw moet worden ontwikkeld, kan een uitsluiting vereisen.
In deze gevallen wordt het sterk aanbevolen om:
- Documenteer: Zorg voor een procedure voor verzoeken en hun motivering
- Limiteer: stel een tijdsperiode in die de aanvrager de tijd geeft om het probleem op te lossen dat hij de legacy-protocollen nodig heeft, of het nu gaat om het vervangen van het apparaat of tijd om de code te herschrijven, enz.
- Voorwaardelijke toegang: gebruik compenserende controles door alleen specifieke apparaten toe te staan, of stel IP-beperkingen, geofencing en meer in met het beleid voor voorwaardelijke toegang.
Conclusie
Het beheren van SaaS-configuraties in een onderneming is ingewikkeld en deze handleiding is bedoelt om de overgang van de oude M365-protocollen naar een moderne omgeving te vergemakkelijken. Het proces kent meerdere stappen en vereist continu toezicht. Van de ontdekking van de verouderde authenticatieprotocollen die zijn geopend en gebruikt door gebruikers en bedrijfsprocessen tot het blokkeren van toegang en het implementeren en beheren van de uitsluitingen, beveiligingsteams moeten elk problematisch gebruik van het authenticatieprotocol induiken, verhelpen en beheren.
In grootschalige omgevingen, waar altijd veranderingen plaatsvinden en configuraties in de duizenden lopen, wordt aanbevolen om dit door een gespecialiseerde partner te laten uitvoeren.